Den 16 juli 2020 meddelade EU-domstolen dom i Schrems II-målet. Domen slår fast att Privacy Shield-avtalet mellan EU och USA inte ger tillräckligt skydd för personuppgifter när dessa överförs till USA.
Vad var Privacy Shield?
Privacy Shield är en överenskommelse sedan 2016 om skydd för personuppgifter mellan EU och USA. Denna innefattar särskilda principer om hur personuppgifter som förs över från EU till USA ska hanteras samt olika översynsmekanismer för att se till att dessa principer följs. Företag i USA kan ansluta sig till Privacy Shield genom att anmäla sig till USA:s handelsdepartement och uppge att de uppfyller de krav som ställs i Privacy Shield.
EU-domstolen ogiltigförklarade avtalet
Den 16 juli i år gav dock EU-domstolen dom i det så kallade Schrems II-målet. Domen slår fast att Privacy Shield avtalet mellan EU och USA inte ger tillräckligt skydd för personuppgifter när dessa överförs till USA. Detta ogiltighetsförklarande innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Överföringar till USA kräver annan lösning
EU-domstolens dom innebär att Privacy Shield upphör att gälla omedelbart. Finns det ett behov att överföra uppgifter till USA måste ni hitta en annan juridisk lösning i dagsläget.
Det är upp till var och en som vill föra över personuppgifter till USA eller ett annat tredje land att göra en bedömning om tillräckliga skyddsåtgärder anses har vidtagits för att garantera att kraven i dataskyddsförordningen uppfyllts.
Vad bör jag som företagare göra nu?
En viktig del är att kartlägga vilka flöden av personuppgifter som finns i organisationen och vilka av dessa som kommer att överföras till ett tredje land, som exempelvis USA.
Kartlägg era personuppgiftsflöden
Om det är så att ni har uppgifter idag som överförs bör ni försöka reda ut hur skyddet hos det mottagande landet ser ut. Vidare måste ni ta ställning till om det finns stöd för överföringen eller inte.
Se över avtal och personuppgiftsbiträden
I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till ett tredje land. Det är även viktigt att se över hur era tjänster tillhandahåller och överför personuppgifter, eftersom det är vanligt att de hyrs i ett tredje land.
